시간 가변 CVSS와 베이지안 네트워크를 활용한 산업용 취약점 평가 혁신

초록

본 논문은 CVSS 3.1의 Temporal 메트릭을 자동으로 수집·계산하고, 이를 베이지안 공격 그래프에 통합하여 취약점의 현재 위험도를 동적으로 추정한다. 산업용 제어 시스템을 Purdue 모델로 모델링한 사례 연구를 통해 베이스 스코어와 Temporal 스코어의 차이를 비교하고, 베이지안 추론을 이용해 각 노드의 침해 확률을 정량화한다. 결과는 Temporal 스코어가 베이스 스코어보다 낮게 나타나며, 시간에 따른 위험도 변화를 반영한 보다 현실적인 우선순위 결정을 가능하게 함을 보여준다.

상세 분석

이 연구는 CVSS 3.1의 Temporal 메트릭(Exploit Code Maturity, Remediation Level, Report Confidence)을 자동화된 파이프라인으로 추출하고, 이를 기존 베이스 스코어에 가중하여 Temporal Score를 산출한다는 점에서 기존 연구와 차별화된다. 특히 Metasploit, Exploit‑DB, PacketStorm 등 세 개의 익스플로잇 데이터베이스와 OpenVAS의 패치 정보를 교차 검증함으로써 ECM, RL, RC 값을 객관적으로 할당한다. 할당 규칙은 “가장 높은 등급을 선택”하는 단순하지만, 실제 운영 환경에서 데이터 불일치와 누락을 최소화하려는 실용적 접근이다.

베이지안 네트워크를 공격 그래프(Bayesian Attack Graph, BAG) 형태로 확장한 점도 주목할 만하다. 각 노드는 특정 취약점에 대응하고, 부모‑자식 관계는 공격 단계 간 인과성을 나타낸다. 노드의 조건부 확률표(CPT)는 해당 취약점의 CVSS(베이스 혹은 Temporal) 스코어를 0~1 구간으로 정규화한 값(P = Score/10)으로 설정한다. 이를 통해 새로운 증거(예: 특정 취약점이 패치되었음)가 들어오면 전체 그래프의 침해 확률이 실시간으로 재계산된다.

사례 연구는 Purdue 모델을 기반으로 5계층(Perimeter → Web/Business → Domain → HMI → PLC)으로 구성된 가상 산업 제어 시스템을 사용한다. 각 계층에서 식별된 CVE에 대해 스크립트가 Temporal Score를 계산하고, BAG에 삽입한다. 결과 테이블은 12개 CVE에 대해 베이스 스코어와 Temporal 스코어를 비교하며, 대부분의 경우 Temporal Score가 베이스보다 낮아 위험도가 감소했음을 보여준다. 이는 패치 배포, 익스플로잇 공개 여부, 보고 신뢰도 등이 실제 위험 완화에 기여한다는 가설을 실증한다.

하지만 몇 가지 한계도 존재한다. 첫째, CPT를 단순히 Score/10으로 매핑하는 방식은 취약점 간 상호작용이나 복합 공격 시나리오를 충분히 반영하지 못한다. 둘째, 데이터 수집 파이프라인이 NVD, Metasploit, Exploit‑DB, PacketStorm, OpenVAS에 의존하므로 해당 소스가 최신 정보를 제공하지 않을 경우 Temporal Score가 부정확해질 위험이 있다. 셋째, 실험은 시뮬레이션 환경에 국한돼 실제 산업 현장에서의 적용 가능성을 검증하기 위한 현장 테스트가 부족하다. 마지막으로, 베이지안 네트워크의 구조와 CPT 설정 과정이 논문에 상세히 기술되지 않아 재현성이 떨어진다.

이러한 점들을 보완한다면, CVSS Temporal 메트릭과 베이지안 추론을 결합한 프레임워크는 지속적인 위험 모니터링과 자동화된 우선순위 결정에 강력한 도구가 될 수 있다. 특히 산업용 IoT와 OT 환경에서 빠르게 변하는 위협 상황에 대응하기 위한 실시간 의사결정 지원 시스템으로 확장 가능성이 크다.